Vizom Malware

Forskere hos IBM har afsløret en ny malware-stamme, der forsøger at indsamle banklegitimationsoplysninger gennem fjernoverlay-angreb. Navnet på denne nye trussel er Vizom, og i det mindste for øjeblikket er dens vigtigste mål brugere i Brasilien.

Formeringsmetoden for Vizom er gennem den velkendte taktik til at sende phishing-e-mails, der bærer vedhæftede filer med malware. For at rejse så lidt mistanke som muligt forklæder hackerne bag kampagnen deres oprettelse af malware som populære videokonferenceværktøjer. Sådanne applikationer er blevet en nødvendighed i kølvandet på COVID-19-pandemien, hvor mange ikke-teknologikyndige brugere skal lære at arbejde med disse applikationer hurtigt.

Når det intetanende offer udfører de forgiftede e-mail-vedhæftede filer, falder det en blanding af legitime og ødelagte filer. Infektionskæden begynder fra AppData-biblioteket. Vizom udnytter legitime applikationer ved at tvinge dem til at udføre de ødelagte filer i en taktik kaldet DLL-kapring. Hackerne designet trusselsens DLL-filer til at udgøre sig som de rigtige filer, som applikationerne forventer at finde i deres mapper. Den vigtigste DLL-fil af truslen hedder 'Cmmlib.dll', det identiske navn på en fil, der er forbundet med et populært videokonferenceprogram.

Vizom fortsætter derefter til den næste fase af angrebskæden - levering af en Remote Access Trojan (RAT) nyttelast. For det første misbruger den en anden legitim proces kaldet 'zTscoder.exe' gennem kommandolinjeprompten og tvinger den til at indlæse den anden malware-trussels dropper. Det er indeholdt i et .zip-arkiv, der også bærer en legitim kopi af Vivaldi-browseren, der vil blive brugt som en del af angrebet.

Når RAT er fuldt implementeret, giver det angriberen betydelig kontrol over den kompromitterede computer. Hackerne kan tage skærmbilleder af systemet, overvåge specifikke tastetryk eller aktivere et keylogger-modul, kontrollere musens position og klik og tastaturet. Den største truende aktivitet er dog oprettelsen af overlays, når den målrettede bruger åbner specifikke bankwebsteder. Vizom forbliver skjult og overvåger den kompromitterede brugers browsersessioner og venter på, at en kamp til sin liste over mål vises. I modsætning til nogle mere sofistikerede fjernoverlejringstrusler udfører Vizom denne proces ved at sammenligne vinduetitlen med angriberens nøglemål. Overlay-systemet er afhængig af, at Vizom genererer en HTML-fil, der derefter åbnes af Vivaldi-browseren i applikationstilstand. Resultatet giver angriberen mulighed for at omgå den typiske brugergrænseflade i browseren og dermed ikke stole på offeret for at udføre handlinger på skærmen.

For at opnå vedholdenhed ændrer Vizom browsergenveje, så uanset hvilken browser der er brugt af offeret, vil det altid pege på Vivaldi-browseren, der er faldet af truslen. For at undgå det åbenlyse tegn på, at der er noget galt, når brugeren starter deres sædvanlige browser, men i stedet ser de Vivaldi åbne sig, angreb angriberne standardbrowseren, der skal startes som en underordnet proces.

Fjernoverlay-angreb havde oplevet en betydelig stigning i regionen Latinamerika, og mens Vizom i øjeblikket er indsat mod brugere i Brasilien, kan den samme taktik let overføres i kampagner over hele Sydamerika eller endda Europa.